DB: Warum ist Ostern bei Hackern ein so beliebter Zeitpunkt, um zuzuschlagen?
Schinner: Nicht nur Ostern, sondern Feiertage generell sind sehr beliebt bei Hackern. Wir beobachten, dass die Zahl der Hacker-Angriffe von Jahr zu Jahr steigt und die meisten Cyberangriffe statistisch gesehen an Wochenenden und Feiertagen stattfinden. Studien zeigen, dass die Anzahl an Cyberattacken auf Unternehmen an Feiertagen um 30 % zunimmt. Die Dunkelziffer wird vermutlich noch höher liegen. Auch zu Ostern starten Cyberkriminelle verstärkt Angriffe und nutzen damit die Festtagsstimmung aus. Die Hacker gehen davon aus, dass die IT-Abteilungen mit reduziertem Personal in die Festtage gehen. Viele Mitarbeiterinnen und Mitarbeiter sind schließlich im Urlaub. Und so kann es gut sein, dass ein Angriff erst bemerkt wird, wenn es zu spät ist.
DB: Stehen dann bestimmte Attacken besonders hoch im Kurs?
Stünkel: Cyberattacken sind immer in Bewegung – das zeigen auch die Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA).
Wir sehen eine Zunahme an raffinierten Angriffen wie beispielsweise die anhaltenden Bedrohungen durch staatlich unterstützte Hacker, gezielte Ransomware-Attacken gegen lebenswichtige Infrastrukturen oder KI-gestützte Phishing-Operationen mit verblüffend authentischer Sprache und Visualisierung.
Wenn wir die Ransomware-Angriffe betrachten, sehen wir in den vergangenen Jahren einen deutlichen Anstieg. Bei Ransomware-Angriffen werden für die Unternehmen hochrelevante Daten verschlüsselt. Gegen die Zahlung von Lösegeld, also „Ransom“, erhalten die Betroffenen wieder Zugriff auf die Daten. Mehr als über eine Milliarde US-Dollar hat die Ransomware-Gruppe „Lockbit 3.0“ auf diese Art und Weise allein im Zeitraum von Juli 2022 bis Februar 2024 erpresserisch weltweit von den unterschiedlichsten Unternehmen erbeutet. Das zeigt, dass es sich nicht nur um eine Randerscheinung innerhalb der Cyberwelt handelt, sondern dass sich eine regelrechte Ransomware-Ökonomie etabliert hat – zum Leidwesen der Betroffenen.
DB: Welche Einfallstore machen sich die Hacker zunutze?
Stünkel: Wie so oft ist die menschliche Komponente entscheidend. Phishing-Mails zählen zu den häufigsten Cyberattacken. Schon ein einzelner Klick kann zu erheblichem wirtschaftlichem Schaden führen. Mit manipulierten E-Mails von gefälschten Absendern zielen die Hacker darauf ab, Benutzernamen und Passwörter zu erlangen. Durch Social Engineering können Angreiferinnen und Angreifer überzeugende und personalisierte Angriffe durchführen. Die Nutzung von Cloud-Infrastruktur macht es für sie zudem einfacher, ihre Aktivitäten zu verbergen.
DB: Und was sollten Unternehmen machen, wenn sie Opfer eines Cyberangriffs werden?
Schinner: Bei einem Sicherheitsvorfall oder Cyberangriff ist eine richtige und rechtzeitige Reaktion essenziell. Für die Abwehr von finanziellen Schäden und Reputationsverlust müssen geeignete Sofortmaßnahmen getroffen werden. Die erfolgreiche Aufklärung eines Vorfalls hängt auch von der schnellen und sorgfältigen Sicherung der richtigen Beweismittel für eine forensische Untersuchung ab. Am wichtigsten ist es daher, mit Plan zu agieren und einen kühlen Kopf zu bewahren. Häufig bietet es sich auch an, krisenerfahrene Expertinnen und Experten von außen dazuzuholen.
DB: Für wen ist die Bedrohungslage größer: Konzerne oder Mittelständler?
Schinner: Grundsätzlich ist die Bedrohungslage für beide hoch, die Ausprägungen eines erfolgreichen Angriffs sind jedoch anders gewichtet. Konzerne versprechen auf den ersten Blick höhere „Gewinne“ aus Sicht der Hacker. Die Aussichten auf Erfolg sind aber aufgrund der höheren Personalkapazitäten und professionellen Strukturen geringer. Bei kleineren Unternehmen ist die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs höher. Einige KMUs wiegen sich in einer vermeintlichen Sicherheit und nehmen die akute Bedrohungslage nicht wahr. Häufig ist deren IT-Sicherheit nicht mehr auf einem zeitgemäßen Stand. Hinzu kommt, dass besonders der Mittelstand unter dem Fachkräftemangel leidet. Zudem ist es meist nicht wirtschaftlich für kleinere Unternehmen, in eigenes Personal für die IT-Sicherheit zu investieren. Dadurch rechnen sich Cyberkriminelle hier höhere Chancen aus.
DB: Kann man sich überhaupt vor einem Angriff schützen?
Stünkel: Wirklich verhindern lassen sich Angriffe kaum. Mit der richtigen Vorbereitung können die Auswirkungen eines Angriffs jedoch minimiert werden. Dazu benötigen die Unternehmen ein effektives Business Continuity Management (BCM), denn Backups sind zwar ein wichtiger Teil des Gesamtkonzepts, aber eben bei Weitem nicht alles.
Und es ist immer der richtige Zeitpunkt, um sich auf den Ernstfall vorzubereiten, denn nach den Feiertagen ist vor den Feiertagen. Nur wer regelmäßig und realistisch trainiert, kann, wenn es drauf ankommt, souverän und schlagkräftig agieren. Mit Trainings können notwendige Handgriffe in realistischen Szenarios eingeübt werden. Sie bereiten die Teams darauf vor, das Unvorhersehbare zu erkennen und zu managen – sowohl technisch als auch mental. Dadurch werden auch die eigenen Detektions- und Reaktionsfähigkeiten gestärkt.
Schinner: Richtig. Und gleichzeitig sollte klar definiert werden, wie auf verschiedene Arten von Cyberangriffen reagiert wird. Dabei geht es um die Zuweisung von Rollen und Verantwortlichkeiten sowie das Aufstellen eines Kommunikationsplans, der sowohl interne als auch externe Kommunikation abdeckt. Dazu sollte auch der Umgang mit einer Lösegeldforderung gehören.
Unternehmen müssen erkennen, dass der klassische Ansatz der Risikoanalyse und -behandlung sowie die Implementierung eines Informationssicherheitsmanagementsystems nicht mehr ausreichen. Es ist entscheidend, eine Widerstandsfähigkeit für den Ernstfall aufzubauen, sodass man schnell und effektiv auf Vorfälle reagieren kann – es gilt eine sogenannte Cyber-Resilienz herzustellen.
Interviewpartner
Prof. Dr. Alexander Schinner ist Partner und Leiter der Security Academy der BDO Cyber Security GmbH. In der Cyber Academy wird Wissen über Cybersecurity für unterschiedliche Zielgruppen vermittelt.
Nils Stünkel ist Manager im Cyber Incident Response und Crisis Center und unterstützt Kunden bei Sicherheitsvorfällen. Die BDO Cyber Security GmbH ist als Tochterunternehmen der BDO AG Wirtschaftsprüfungsgesellschaft der Berater und Anbieter von ganzheitlichen Cyber-Resilience-Lösungen.